Connexion
Finalement, le gouvernement prévoit de donner la régulation de l’IA à la CNIL
Veni vidi vici ?
Alors que le projet de loi « portant diverses dispositions d’adaptation au droit de l’Union européenne » va passer devant le Sénat, le gouvernement a proposé un amendement qui prévoit que la CNIL prenne la main sur la régulation de l’IA en France. L’Arcom ne devrait jouer qu’un second rôle.
La CNIL semble avoir gagné la bataille d’influence dans la régulation de l’IA. En tout cas, c’est le sens que prend un amendement déposé par le gouvernement dans le projet de loi qui prévoit, entre autres, d’adapter le droit français à l’AI Act.
Ce projet de loi « portant diverses dispositions d’adaptation au droit de l’Union européenne » a été déposé au Sénat en novembre dernier par le gouvernement en engageant la procédure accélérée.
Le législateur doit notamment décider quelle institution sera chargée, en France, de la régulation de l’intelligence artificielle prévue par le règlement européen.
Intense bataille entre potentiels régulateurs
Depuis 2023, et donc avant même le vote du texte européen, la CNIL essaye de faire sienne cette place de régulateur de la technologie, devenue centrale politiquement et économiquement ces dernières années. Après avoir écarté les divers comités créés par l’exécutif ces dernières années, la CNIL avait obtenu l’appui de certains députés en 2024, à condition qu’elle se transforme.
L’ARCOM et le ministère de l’Économie, via la DGCCRF, essayaient aussi de prendre l’ascendant sur ce dossier. Les trois organisations avaient mis en avant, en juin 2024, la signature d’une « convention de coopération » entre elles pour la mise en œuvre du règlement européen sur les services numériques.
En septembre dernier, Bercy semblait avoir pris l’ascendant et communiquait pour assurer que « la DGCCRF, experte de la surveillance de marché et accomplie dans la collaboration avec d’autres régulateurs, ainsi que la DGE, représentante de la France au Comité européen de l’IA, coordonneraient les actions des autorités ». Le ministère de l’Économie diffusait aussi un « schéma de gouvernance des autorités de surveillance de marché » sur lequel la DGCCRF, avec la DGE, était clairement aux manettes :
Mais finalement, le gouvernement a choisi la CNIL comme autorité chargée d’assurer la mise en œuvre de l’AI Act sur le sol français. De fait, le texte initial du projet de loi présenté au Sénat n’avait pas tranché la question.
Selon nos confrères de Contexte, le Conseil d’État estimait que le schéma prévu par Bercy risquait « d’enfreindre la règle du “non bis in idem” », c’est-à-dire l’impossibilité de double sanction. En effet, selon l’institution, le plan prévu par le ministère de l’Économie risquait de mettre en place des doubles affectations d’autorités sur certaines catégories d’IA. Le gouvernement a donc dû revoir sa copie.
La CNIL ramasse la mise
Finalement, l’amendement au texte qu’il a déposé ce jeudi 12 février veut modifier la loi Informatique et libertés de 1978 pour donner de nouvelles compétences à la CNIL, qui devra « assurer la mise en œuvre effective » de l’AI Act.
L’autorité aura aussi à charge le contrôle des pratiques d’intelligence artificielle interdites. Sur la notation sociale, elle partagera cette charge de contrôle avec la DGCCRF.
Elle se voit aussi confier « le contrôle du respect des obligations de transparence applicables à certains systèmes d’intelligence artificielle, notamment ceux mettant en œuvre des dispositifs de reconnaissance des émotions ou de catégorisation biométrique », comme l’explique le gouvernement dans l’objet de son amendement.
La CNIL est également désignée comme autorité compétente à l’égard des obligations de transparence de certains systèmes d’intelligence artificielle au sens de l’article 50 du même règlement, qui obligera les contenus générés par IA à être labellisés comme tels.
Elle est désignée comme organisme notifié qui doit intervenir pour « l’évaluation du système de gestion de la qualité et de l’évaluation de la documentation technique » des systèmes d’IA considérés comme à « haut risque » par le règlement européen concernant les systèmes d’identification biométrique, de décisions relatives au travail (emploi, recrutement…) et « certaines applications relevant de la répression, des contrôles aux frontières ou de la gestion des migrations ». Même chose concernant les systèmes à haut risque dans l’éducation, mais la DGCCRF récupère la compétence sur les systèmes concernant la formation professionnelle.
Dans ce texte, l’Arcom ne retrouve plus qu’un rôle de consultation lorsque les systèmes d’intelligence artificielle concernés présentent un lien direct avec les processus démocratiques.
« Il y a quelques incertitudes sur les périmètres respectifs des uns et des autres », a quand même estimé la rapporteure du texte Marie-Lise Housseau (UC) auprès de nos confrères de Contexte, alertée par l’Arcom. La sénatrice pourrait proposer quelques modifications pour éclaircir les choses.
Le Sénat doit examiner le texte en séance publique lundi 16 février.
